Können wir davon ausgehen, dass Personen, die Systeme oder Software einrichten, Experten auf ihrem Gebiet sind und die Details der kryptografischen Algorithmen verstehen und alles, was sie einrichten, vor Angreifern sicher ist? Unabhängig davon, ob unsere Annahme richtig oder falsch ist, ist es wichtig, dass die Systeme und Software mit den richtigen kryptografischen Einstellungen betrieben werden. Und was meine ich mit richtigen kryptografischen Einstellungen? Die Einstellungen, die den weltweit anerkannten Standards entsprechen, verhindern die Verwendung veralteter Protokolle und Algorithmen. Kurz gesagt, ich spreche von den systemweiten Kryptorichtlinien.
Was sind Kryptorichtlinien?
Eine Crypto-Richtlinie ist ein Paket, das die zentralen kryptografischen Subsysteme konfiguriert, indem es eine Reihe von Richtlinien aktiviert, die der Administrator auswählen kann. Wenn eine systemweite Kryptorichtlinie aktiviert ist, halten sich die Anwendungen und Dienste daran und lehnen Protokolle und Algorithmen ab, die die Richtlinie nicht erfüllen.
Tool – update-crypto-policies
update-crypto-policies ist der Befehl zum Verwalten der aktuellen systemweiten kryptografischen Richtlinie. Der Befehl wird durch das Paket „crypto-policies-scripts installiert ‘ in CentOS Stream 8. Wenn Sie das Paket jedoch nicht in Ihrem Betriebssystem finden, installieren Sie es wie unten gezeigt:
Kryptorichtlinien-Skripte installieren
# dnf -y install crypto-policies-scripts
(oder)
# yum -y install crypto-policies-scripts
Aktuelle systemweite Richtlinie anzeigen
# update-crypto-policies --show DEFAULT
Systemweite Richtlinie festlegen/ändern
# update-crypto-policies --set FUTURE Setting system policy to FUTURE Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
Wie in der obigen Ausgabe angegeben, starten Sie das System neu, um die neue kryptografische Richtlinie anzuwenden.
Art der unterstützten kryptografischen Richtlinien
DEFAULT, LEGACY, FUTURE und FIPS sind die Richtlinien, die Sie mit update-crypto-policies festlegen können Befehl. Erfahren Sie hier mehr über Krypto-Richtlinien.
Beispiele von Client-Anwendungen
Nehmen Sie nun an, dass Sie die systemweite Kryptorichtlinie auf FUTURE gesetzt haben und sehen, wie sich die Client-Anwendungen darauf verhalten.
Verwenden Sie cURL um auf eine Website zuzugreifen, die ein schwaches SHA-1-Zertifikat verwendet. Während die Kryptorichtlinie auf FUTURE eingestellt ist, sollte cURL das SHA-1-Zertifikat wie unten gezeigt verbieten:
# curl https://sha1-intermediate.badssl.com curl: (60) SSL certificate problem: EE certificate key too weak More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could not establish a secure connection to it. To learn more about this situation and how to fix it, please visit the web page mentioned above.
Der Versuch, mit schwachen Verschlüsselungen eine SSH-Verbindung zum Server herzustellen, sollte wie unten gezeigt zu einem Fehler führen:
# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [email protected] :::::::::::::::::::::::::::::::::::: Unable to negotiate with 192.168.141.141 port 22: no matching cipher found. Their offer: [email protected],[email protected],aes256-ctr
Erfahren Sie, wie Sie den schwachen Schlüsselaustauschalgorithmus und den CBC-Modus in SSH deaktivieren.
Damit verstehen wir, dass die Client- und Serveranwendungen die systemweit festgelegten Kryptorichtlinien respektieren. Das bedeutet, dass sich der Administrator nicht um die Einstellung des richtigen kryptografischen Algorithmus und Protokolls für jede Anwendung kümmern muss.